Pöörduv de-identifitseerimine kliinilises uurimistöös
Pikad uuringud seisavad silmitsi raske kompromissiga. Patsiendid peavad uuringu ajal jääma varjatuks. IRB reeglid nõuavad seda. Patsientide usaldus sõltub sellest. Kuid tulemus võib nõuda hilisemat ühendusvõtmist. Püsiv de-identifitseerimine eemaldab selle tee. Pöörduv de-identifitseerimine hoiab selle lahti.
Vaadake, kuidas me seda toetame meie vastavuse ülevaates ja turvatustavades.
Ühendusvõtmise probleem
Onkoloogiakeskus viib läbi 5000 patsiendiga uuringut. Uuringu keskel näitavad 47 patsienti agressiivse vähitüübiga seotud markereid. See ei olnud algses ulatuses. Eetikakomitee vaatab leiu üle. See kiidab ühendusvõtmise heaks. Hoiatamiskohustus kehtib.
Kui algne de-identifitseerimine oli püsiv, on meeskond ummikus. Juhuslikud koodid ilma kaardita ei anna teed tagasi. 47 kirjet ei saa linkida päris patsientidega. Leiu põhjal ei saa tegutseda. Patsiendid, kes võivad vajada ravi, ei ole kättesaadavad. Privaatsuse seadistus on läbi kukkunud oma kõige kriitilisemas punktis.
See ei ole haruldane. Iga pikk uuring võib sattuda ootamatule leiule. Hoiatamiskohustuse doktriin nõuab tegevust, kui risk avastatakse. Ilma re-ID teeta pole see tegevus võimalik.
GDPR võtme eraldamise reeglid
EDPB juhised 05/2022 käsitlevad seda probleemi otse. Pseudonüümiseerimine on kehtiv andmekaitse samm. See hoiab re-identifitseerimise võimaluse lahti. Heakskiidetud protsess saab seda vajadusel kasutada.
Põhireegel on võtme eraldamine. Dekrüpteerimisvõti peab olema pseudonüümiseeritud andmetest eraldi hoitud. Kontrollid peavad blokeerima igasuguse juurdepääsu, mis ei ole heaks kiidetud. Andmeid kasutav meeskond ei tohi samal ajal võtit hoida. Re-ID peab nõudma formaalset, logitud sammu.
IAPP 2024. aasta uuring leidis, et ainult 23% anonüümiseerimistööriistadest pakub tõelist pöörduvust. Enamik rakendab püsivat maskeerimist või asendamist. Need meetodid blokeerivad hoiatamiskohustuse nõutava ühendusvõtmise.
Kuidas arhitektuur töötab
Vastavuses olev seadistus kasutab pöörduvat krüpteerimist AES-256-GCM-iga. Iga patsiendi ID muudetakse märgiseks. Sama patsient vastab samale märgisele kõigis uurimisfailides. Andmete lingid jäävad puutumatuks. Töökomplektis ei ilmu ühtegi töötlemata ID-d.
Dekrüpteerimisvõtit hoiab andmete eestkoste. Seda hoitakse andmetest eraldi. Võtme igasugune kasutamine nõuab kirjalikku, heakskiidetud taotlust.
Meeskond töötab analüüsi ajal ainult märgistega. Kui 47 mõjutatud patsienti on tuvastatud, kiidab eetikakomitee re-ID heaks. Eestkoste rakendab võtit ainult nendele 47 kirjele. Meeskond saab need 47 päris ID-d. Teised 4953 patsienti jäävad kaitstud.
Võimalik on ainult sihipärane re-ID. Ülejäänud andmekogumit ei puudutata kunagi.
Lisateavet pseudonüümiseerimise ja täieliku anonüümiseerimise erinevuse kohta leiate meie GDPR anonüümiseerimise vs pseudonüümiseerimise juhendist.